[0001] Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbegriff des Patentanspruches
1. Ein derartiges Verfahren ist aus der EP 0 076 672 B1 bekannt.
[0002] Dort geht es um die Steuerung einer Bahnanlage unter Verwendung einer Zentrale, die
den eine Strecke befahrenden Fahrzeugen beim Vorliegen entsprechender Voraussetzungen
die Genehmigung erteilt, einen bestimmten Streckenabschnitt zu befahren. Diese Genehmigung,
der sogenannte Token, autorisiert ein Fahrzeug, individuelle Stellaufträge an ausgewählte
Stellelemente des Streckenabschnittes zu übermitteln und veranlaßt die Stellelemente,
diese Stellaufträge auszuführen. Nach dem Passieren der Streckeneinrichtungen geben
die Fahrzeuge die ihnen übermittelten Token wieder an die Zentrale zurück. Nachfolgende
Fahrzeuge dürfen den Streckenabschnitt nur dann befahren und bedarfsweise auf die
Stellelemente der Streckeneinrichtungen zugreifen, wenn sie hierzu durch ein ihnen
von der Zentrale übermitteltes Token autorisiert wurden.
[0003] Zum Akzeptieren und Ausführen von Stellaufträgen müssen die Stellelemente der Streckeneinrichtungen
von den sie betreffenden Token unterrichtet sein. Üblicherweise bestehen die Token
aus einer unveränderbaren Kennung und die Zentrale überwacht die Zuordnung der Token
zu den die Strecke befahrenden Fahrzeugen.
[0004] Aufgabe der Erfindung ist es, ein Verfahren nach dem Oberbegriff des Patentanspruches
1 anzugeben, das ein lokales Verschließen der im Fahrzeug liegenden Stellelemente
ermöglicht, ohne daß an den Stelleinrichtungen zusätzliche Sensoren oder ähnliches
erforderlich werden und ohne daß zusätzliche Kommunikationskosten für das Verschließen
und das Auflösen der einzelnen Stellelemente erforderlich sind.
[0005] Die Erfindung löst diese Aufgabe durch die Merkmale des Patentanspruches 1. Danach
prüfen die Stellelemente mit Hilfe eines ihnen bekannten veränderbaren Tokens die
Berechtigung eines Fahrzeugs zur Verschlußaufhebung, führen bedarfsweise den anliegenden
Stellauftrag aus und verschließen das Stellelement wieder. Der Token kann dabei im
Stellelement oder in der Zentrale generiert werden.
[0006] Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen
angegeben.
[0007] Anspruch 2 bezieht sich dabei auf die Tokengenerierung in einem Stellelement, wobei
das Stellelement nach der Abhandlung eines Stellauftrages jeweils einen neuen Token
generiert und ihn über das den Verschluß auflösende Fahrzeug an die Zentrale übermittelt.
Dabei generiert das Stellelement von Fall zu Fall einen Token, der verschieden ist
von dem zuvor geltenden Token. Damit wird verhindert, daß nicht autorisierte Fahrzeuge
aus ihrer Kenntnis über ihnen früher zugewiesene Token unberechtigterweise auf die
Stellelemente eines Fahrwegbereiches zugreifen können, zu dem sie keine Zugriffsberechtigung
besitzen.
[0008] Ein beim oder nach dem Ausführen eines Stellauftrages von einem Stellelement generiertes,
für einen folgenden Stellauftrag geltendes Token wird von dem noch autorisierten Fahrzeug
nach der Lehre des Anspruches 3 beim Freifahren des Streckenabschnittes, der das Stellelement
beinhaltet, für den der Token gilt, an die Zentrale weitergegeben. Dieses Verfahren
stellt sicher, daß ein neuer Token solange nicht an ein nachfolgendes Fahrzeug übermittelt
werden kann, solange der durch den aktuellen Token einem vorausfahrenden Fahrzeug
zugewiesene Fahrwegbereich noch von diesem befahren wird.
[0009] Gemäß Anspruch 4 findet die Tokengenerierung in der Zentrale statt und die Zentrale
unterrichtet die Stellelemente über den für ihre nächste Beanspruchung jeweils geltenden
Token.
[0010] Anspruch 5 sieht die Generierung unterschiedlicher Token in der Zentrale vor, wobei
die Zentrale jeweils zwei Token vorgibt, von denen der eine die aktuelle Fahrt betrifft
und der andere eine später vorzunehmende Fahrt. Die Stellelemente wissen zunächst
nur um die Beschaffenheit des Tokens für die aktuelle Fahrt Bescheid und sie übernehmen
den jeweils anderen Token von dem berechtigt auf sie zugreifenden Fahrzeug, speichern
ihn ab und verwenden ihn zur Überprüfung der Zugriffsberechtigung eines später folgenden
Fahrzeuges. Diese Art der Ausprägung des erfindungsgemäßen Verfahrens hat den Vorteil,
daß an den räumlich verteilten Stellelementen keine Mittel zum Generieren von Token
erforderlich sind.
[0011] Unabhängig davon, ob die Token in den Stellelementen oder in der Zentrale generiert
werden, ist es nach der Lehre des Anspruches 6 vorteilhaft, dort für die Tokengenerierung
Zufallsgeneratoren oder Zähler zu verwenden. Dadurch wird erreicht, daß die Wahrscheinlichkeit
nur sehr gering ist, daß mit einem nicht mehr aktuellen Token auf die Stellelemente
eines Fahrwegs zugegriffen werden kann.
[0012] In vorteilhafter Weise können die Token gemäß Anspruch 7 verschlüsselt und zur Anerkennung
in den Stellelementen wieder entschlüsselt werden. Hierdurch sollen die Token gegen
Mißbrauch durch nicht autorisierte Dritte geschützt werden.
[0013] Die Erfindung ist nachstehend anhand zweier in der Zeichnung verdeutlichter Ausführungsbeispiele
erläutert, wobei die
- Figur 1
- für die weichenseitige Generierung von Token und
- Figur 2
- für die Generierung der Token in einer Zentrale gelten.
[0014] Figur 1 zeigt das Zusammenspiel einer Zentrale Z mit einem als Weiche W ausgebildeten
Stellelement unter Mitwirkung eines ersten Fahrzeugs F1 und eines zweiten Fahrzeugs
F2, wobei die Weiche W den jeweils für eine Folgefahrt (Fahrzeug F2) geltenden Token
(Tb) vorgibt. Bei den Fahrzeugen handelt es sich um Einzelfahrzeuge oder Fahrzeugverbände.
Zu Beginn der Betrachtung wird davon ausgegangen, daß bei der Weiche W ein aktueller
Token Twa hinterlegt ist, der dazu dient, einem den Zugriff auf die Weiche W fordernden
Fahrzeug F1 den Zugriff auf die Weiche zu gestatten, wenn sich dieses Fahrzeug im
Besitz des gültigen Tokens Ta befindet. Der bei der Weiche W hinterlegte Token Twa
kann ein der Weiche fest zugeordneter, dort in einem Speicher hinterlegter-Ausgangs-Token
sein, der bei der Betriebsaufnahme z. B. durch die Zentrale aus dem Speicher abgerufen
oder sonstwie wirksam geschaltet wurde. Es ist aber auch möglich, daß die Weiche von
sich heraus oder auf eine entsprechende Anförderung eine dem hinterlegten Token Twa
inhaltlich entsprechende Tokenmeldungen Ta an die Zentrale übermittelt, die diesen
Token dem ersten auf die Weiche vorrückenden Fahrzeug zuweist. Dieses über das geltende
Token Ta informierte Fahrzeug F1 setzt sich bei Annäherung an die Weiche per Funk
mit dieser in Verbindung und übermittelt im Zusammenwirken mit dem geltenden Token
Ta einen Auftrag zur Verschlußauflösung an die Weiche. Die Weiche vergleicht den vom
Fahrzeug F1 übermittelten Token Ta mit dem bei ihm hinterlegten Token Twa. Stimmen
beide Token annahmegemäß inhaltlich überein, so akzeptiert die Weiche den Auftrag
zur Verschlußauflösung, löst den Verschluß auf und führt den Stellauftrag aus; anschließend
stellt sie den Verschluß wieder her und setzt eine entsprechende Statusmeldung an
das sich nähernde Fahrzeug F1 ab. Diese Statusmeldung beinhaltet neben der Verschlußmeldung
für die Weiche W auch einen neuen Token Tb, der für die Folgefahrt gelten soll. Die
Weiche W hinterlegt einen dem neuen Token Tb entsprechenden Token Twb in ihrem Speicher.
Der neue Token Tb unterscheidet sich inhaltlich von dem Token Ta des aktuell auf die
Weiche zugreifenden Fahrzeuges F1. Er wird bei der Weiche vorzugsweise unter Mitwirkung
eines Zufallsgenerators oder eines Zählers entweder neu gebildet oder aus einem Speicher
für eine Vielzahl von unterschiedlichen Token abgerufen. Das sich nähernde Fahrzeug
F1 akzeptiert die Verschlußmeldung zusammen mit dem neuen Token Tb und setzt seine
Fahrt in Richtung auf die Weiche und über die Weiche W hinaus fort. Mit dem vollständigen
Passieren der Weiche W oder eines vorgegebenen, die Weiche W beinhaltenden Fahrwegbereiches
übermittelt das Fahrzeug F1 den neuen Token Tb an die Zentrale Z und setzt sie damit
in Kenntnis über den nachfolgend von der Weiche W anerkannten Token. Das vollständige
Passieren der Weiche W bzw. das Freifahren eines vorgegebenen Fahrweges wird vom Fahrzeug
F1 festgestellt, das hierzu z. B. mit einer streckenseitigen zugschlußmeldeeinrichtung
zusammenwirkt oder den Fahrort seines Zugschlusses selbsttätig ermittelt.
[0015] Einem Fahrzeug F2, das zu einem späteren Zeitpunkt Zugriff auf die Weiche W begehrt,
wird von der Zentrale der aktuelle Token Tb übermittelt. Unter Benutzung dieses Tokens
nimmt das Fahrzeug F2 Verbindung mit der Weiche W auf und versucht, seinen Stellauftrag
an die Weiche abzusetzen. Die Weiche vergleicht den ihr vom Fahrzeug F2 mitgeteilten
Token Tb mit dem bei ihr gespeicherten Token Twb und hebt bei Übereinstimmung den
Verschluß der Weiche W auf. Vorzugsweise mit der Verschlußauflösung wird ein für die
Folgefahrt geltender Token generiert und an das Fahrzeug F2 zur späteren Weitergabe
an die Zentrale übermittelt.
[0016] Fällt der Vergleich zwischen einem von einem Fahrzeug übermittelten Token und einem
bei der Weiche gespeicherten Token negativ aus, so verweigert die Weiche die Verschlußauflösung
und informiert das sich nähernde Fahrzeug hiervon. Das Fahrzeug hat dann seine Fahrt
so einzurichten, daß es vor dem nicht verfügbaren Stellelement zum Anhalten kommt.
Wenn für die Zentrale nach entsprechender Prüfung klar ist, daß der Zugriff eines
sich dem Stellelement nähernden Fahrzeugs wegen eines offensichtlichen Datenübertragungsfehlers
verweigert wurde, so kann die Zentrale die Weiche dazu veranlassen, den bei ihr gespeicherten
Ausgangstoken Twa wieder zu aktivieren und sie unterrichtet dann das vor der Weiche
wartende oder auf die Weiche vorrückende Fahrzeug von diesem neuen Token. Das Fahrzeug
versucht erneut, unter Verwendung dieses Tokens auf die Weiche zuzugreifen und erhält
nach Vergleich des übermittelten Tokens Ta mit dem hinterlegten Token Twa den Zugriff
auf die Weiche W. Die Weiche W hebt ihren Verschluß auf, führt den Stellauftrag aus
und stellt den Verschluß wieder her. Anschließend übermittelt sie eine entsprechende
Statusmeldung unter Beiordnung eines für die Folgefahrt geltenden Tokens an das zugreifende
Fahrzeug, das diesen neuen Token zu gegebener Zeit an die Zentrale übermittelt.
[0017] Durch die Verwendung stets neuer Token für die einzelnen Zugfahrten wird die Wahrscheinlichkeit
eines ungewollten Zugriffes durch ein nicht zu einem solchen Zugriff autorisiertes
Fahrzeug auf einen sehr kleinen unkritischen Wert reduziert, Um die Token zusätzlich
gegen Mißbrauch durch nicht autorisierte Dritte zu schützen, können die Token in der
Zentrale verschlüsselt werden. Aus den verschlüsselten Daten werden an den Stellelementen
durch Entschlüsselung die ursprünglichen Token wieder zurückgenommen und mit dem jeweils
hinterlegten Token auf inhaltliche Übereinstimmung verglichen.
[0018] Bei dem Ausführungsbeispiel der Figur 2 werden die Token, die die Zugriffsberechtigung
für eine Folgefahrt vorgegeben, nicht von den Stellelementen bereitgestellt, sondern
von der Zentrale. Diese Ausbildung des erfindungsgemäßen Verfahrens ist robuster gegen
Tokenverlust als das anhand der Figur 1 erläuterte Verfahren.
[0019] Figur 2 zeigt wiederum das Zusammenspiel einer Zentrale mit einer Weiche W unter
Mitwirkung von Fahrzeugen F1, F2 und F3. Im Gegensatz zum Ausführungsbeispiel der
Figur 2 generiert die Zentrale die Token und unterrichtet die Stellelemente über die
zu ihrem Befahren vergebenen Token. Dies kann z. B. auf dem Funkweg geschenen. Eine
besonders vorteilhafte Ausprägung des erfindungsgemäßen Verfahrens sieht vor, daß
die Zentrale die Token jeweils paarweise zur Verfügung stellt, wobei die beiden Token
eines jeden Paares voneinander verschieden sind. Der eine Token dient der Erlangung
der Zugriffsberechtigung für eine aktuelle Zugfahrt und der andere der Erlangung der
Zugriffsberechtigung für die nachfolgende Zugfahrt. Der aktuelle Token soll z. B.
der Token Ta, der der nächsten Zugfahrt zugeordnete Token der Token Tb sein. Beide
Token werden von der Zentrale an das Fahrzeug F1 übermittelt, das diese drahtlos an
die Weiche W weitergibt. Bei der Weiche W ist der aktuelle Token Twa hinterlegt, beispielsweise
durch ein entsprechendes Signal der Zentrale oder durch ein Vorgängerfahrzeug. Die
Weiche W vergleicht den ihr übermittelten gegebenenfalls entschlüsselten aktuellen
Token Ta mit dem bei ihr hinterlegten Token Twa, löst bei inhaltlicher Übereinstimmung
beider Token den Verschluß und führt den Stellauftrag aus. Anschließend hinterlegt
die Weiche den zweiten ihr vom Fahrzeug übermittelten, von ihr aber bislang nicht
anerkannten Token Tb als neuen weichenspezifischen Token Tbw in ihrem Speicher und
gibt eine entsprechende Statusmeldung an das die Weiche beanspruchende Fahrzeug F1.
Diese Statusmeldung beinhaltet die aktuelle Verschlußmeldung der Weiche. Das Fahrzeug
seinerseits unterrichtet die Zentrale beim Freimelden der Weiche W bzw. eines die
Weiche W beinhaltenden Fahrwegbereiches davon, daß die Weiche W den der Folgefahrt
zugewiesenen Token Tb akzeptiert hat.
[0020] Verlangt zu einem späteren Zeitpunkt ein Folgefahrzeug F2 den Zugriff auf die Weiche
W, so übermittelt die Zentrale diesem Fahrzeug neben dem dann aktuellen Token Tb auch
den Token Tc für die Folgefahrt. Mit dem aktuellen Token Tb verschafft sich das Fahrzeug
F2 Zugriff auf die Weiche W und setzt den zugehörigen Stellauftrag entsprechend der
gewünschten Weichenlage an die Weiche W ab. Außerdem übermittelt das Fahrzeug F3 der
Weiche den von der Zentrale Z der Folgefahrt zugeordneten Token Tc. Die Weiche vergleicht
den übermittelten aktuellen Token Tb mit dem bei der vorangegangenen Fahrt bei ihr
hinterlegten Token Twb und akzeptiert bei inhaltlich übereinstimmenden Token den zur
Ausführung anstehenden Stellauftrag. Nach der Verschlußauflösung wird der angeforderte
Stellauftrag ausgeführt und die beiden miteinander verglichenen Token Tb und Twb werden
gelöscht. Anschließend wird der weiterhin übermittelte Token Tc als neuer weichenspezifischer
Token Twc bei der Weiche abgespeichert. Die Weiche gibt nach der Ausführung des Stellauftrages
eine entsprechende Verschlußmeldung zusammen mit der Anerkennung des nächsten für
die Folgefahrt geltenden Tokens Tc an das zum Stellen der Weiche autorisierte Fahrzeug
F2 ab. Dieses unterrichtet beim Freifahren der Weiche die Zentrale davon, daß die
Weiche den Token Tc akzeptiert hat.
[0021] Zu einem späteren Zeitpunkt weist die Zentrale einem Folgefahrzeug F3 diesen Token
Tc als aktuellen Token zu, der das Fahrzeug befähigt, auf die Weiche W zuzugreifen
und sie informiert das Fahrzeug über den für die Folgefahrt geltenden Token Td. Dieser
Token wird von der Weiche eingelagert und dient dazu, zu einem späteren Zeitpunkt
die Zugriffsberechtigung eines dann folgenden Fahrzeugs zu überprüfen.
[0022] Es ist aber auch möglich, den für die Beanspruchung einer Weiche geltenden Token
nicht von einem vorauslaufenden Fahrzeug an die Weiche zu übermitteln sondern von
der Zentrale aus auf direktem Wege, z. B. mittels eines entsprechenden Funksignals.
Dieses Funksignal soll von der Weiche empfangen, gegebenenfalls entschlüsselt und
abgespeichert sein, bevor das Fahrzeug, für dessen Fahrt es gelten soll, auf die Weiche
zuzugreifen versucht.
[0023] Dadurch, daß die Token nicht mehr an einer Vielzahl von Stellelementen generiert
werden müssen, sondern nur einmal an zentraler Stelle, ist die Wahrscheinlichkeit,
daß wegen einer Störung an einem Feldelement Token verloren gehen können, sehr viel
geringer als bei dezentraler Tokengenerierung.
[0024] Insgesamt sind beide vorgeschlagenen Verfahrensausführungen mit stellelementseitiger
Tokengenerierung und zentraler Tokengenerierung außerordentlich robust gegen den unzulässigen
Zugriff eines nicht zum Zugriff autorisierten Fahrzeugs auf ein Stellelement. Diese
Robustheit wird durch die Verwendung unterschiedlich ausgebildeter Token für die einzelnen
Fahrwegzuweisungen und die zusätzliche Verschlüsselung/Entschlüsselung der Token erreicht.
Die Token können wie im dargestellten Ausführungsbeispiel einzelnen Stellelementen
wie Weichen, Gleissperren oder Bahnübergängen zugeordnet sein, oder aber auch größeren
Fahrwegbereichen mit mehreren Stellelementen. Dabei sind hinsichtlich der dezentralen
Lösung den einzelnen Stellelementen eines Fahrwegbereiches vorzugsweise jeweils unterschiedliche
Token zuzuordnen, während bei der zentralen Lösung allen Stellelementen des betreffenden
Fahrwegbereiches jeweils der gleiche Token zugewiesen werden kann.
[0025] Zur Übermittlung der Token sowie von Kommandos und gegebenenfalls Meldungen kommen
Verfahren zur gesicherten Datenübertragung zur Anwendung.
1. Verfahren zum fahrzeugbewirkten Stellen von Stellelementen unter Verwendung einer
Zentrale zur bedarfsweisen Tokenzuweisung an die Fahrzeuge und unter Verwendung von
stellelementseitigen Speichern zur Hinterlegung von den Fahrzeugen zuweisbaren Token,
dadurch gekennzeichnet,
daß die Stellelemente (W) nach Anerkennung und Ausführung eines Stellauftrages zur
späteren Ausführung eines folgenden Stellauftrages in ihren Speichern einen von dem
den aktuellen Stellauftrag autorisierenden Token (Twa) verschiedenen Token (Twb) hinterlegen,
der entweder der Zentrale (Z) bereits bekannt ist oder den die Stellelemente über
das den aktuellen Stellauftrag autorisierende Fahrzeug (F1) an die Zentrale melden.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß die Stellelemente nach Anerkennung eines Stellauftrages einen für eine Folgefahrt
geltenden aktuellen Token (Tb) generieren und diesen einem den ausgeführten Stellauftrag
autorisierenden Fahrzeug (F1) zur Weitergabe an die Zentrale (Z) übermitteln.
3. Verfahren nach Anspruch 2,
dadurch gekennzeichnet,
daß die Weitergabe des für die Folgefahrt geltenden Tokens (Tb) an die Zentrale durch
das die Strecke befahrende Fahrzeug (F1) beim Freifahren des Streckenabschnittes erfolgt,
in dem das Stellelement (W) liegt, und für dessen Befahrung das Fahrzeug durch den
vorangegangenen Token (Ta) autorisiert war.
4. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß die Zentrale (Z) die Stellelemente (W) eines zu befahrenden Streckenbereiches
per Funk oder leitungsgebunden über den für ihr Befahren geltenden Token unterrichtet.
5. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß die Zentrale (Z) den die Strecke befahrenden Fahrzeugen (F1, F2) jeweils zwei
Token (Ta, Tb) zuweist, von denen einer (Ta) dem Stellelement (W) des zu befahrenden
Streckenabschnittes bekannt ist oder bekannt gemacht wird und dort zum Vergleich mit
dem Token (Ta) eines die Ausführung eines Stellauftrages anfordernden Fahrzeugs (F1)
dient,
daß das Stellelement (W) nach der Anerkennung eines Stellauftrages den hinterlegten
aktuellen Token (Twa) durch den jeweils anderen, ihm vom Fahrzeug mitgeteilten Token
(Twb) ersetzt
und daß die Zentrale dem nächsten den Streckenabschnitt befahrenden Fahrzeug (F2)
neben dem anderen Token (Tb) einen für die folgende. Fahrt geltenden weiteren Token
(Tc) zur späteren Weitergabe an das Stellelement übermittelt.
6. Verfahren nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet,
daß die Stellelemente oder die Zentrale den für eine Folgefahrt geltenden, bei der
oder den Weichen zu hinterlegenden Token (Tb, Tc) mittels eines Zufallsgenerators
oder eines Zählers bestimmen.
7. Verfahren nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
daß die von der Zentrale oder den Stellelementen bereitgestellten Token vor ihrer
Übertragung in vorgegebener Weise verschlüsselt und nach Empfang durch die Stellelemente
wieder entschlüsselt werden.